Präsident Biden sagte am Montag, dass die Vereinigten Staaten eine kriminelle Gruppe von Hackern namens DarkSide “stören und strafrechtlich verfolgen” würden, die das FBI offiziell für einen riesigen Ransomware-Angriff verantwortlich machte, der den Fluss von fast der Hälfte der Benzin- und Düsentreibstoffvorräte in die USA gestört hat Ostküste.
Das FBI war eindeutig besorgt darüber, dass sich die Ransomware-Bemühungen ausbreiten könnten, und gab einen Notfallalarm an Elektrizitätsversorger, Gasversorger und andere Pipeline-Betreiber aus, um nach Codes zu suchen, wie sie Colonial Pipelines, eine private Firma, die die Hauptpipeline kontrolliert, einsperrten Transport von Benzin, Diesel und Düsentreibstoff von der Golfküste von Texas zum Hafen von New York.
Die Pipeline blieb am Montag für einen vierten Tag offline, um zu verhindern, dass sich die Malware, die die Computernetzwerke des Unternehmens infiziert hat, auf die Steuerungssysteme ausbreitet, auf denen die Pipeline ausgeführt wird. Bisher scheinen die Auswirkungen auf Benzin und andere Energieversorgungen minimal zu sein, und Colonial hoffte, die Pipeline bis Ende dieser Woche wieder in Betrieb zu nehmen.
Der Angriff löste das ganze Wochenende über Notfalltreffen im Weißen Haus aus, als Beamte zu verstehen versuchten, ob es sich bei der Episode um eine rein kriminelle Handlung handelte, mit der die Computernetzwerke von Colonial gesperrt werden sollten, sofern kein großes Lösegeld gezahlt wurde, oder ob es sich um die Arbeit Russlands oder eines anderen handelte Staat, der die kriminelle Gruppe verdeckt benutzte.
Nach Angaben von Geheimdienstmitarbeitern deuten alle Anzeichen darauf hin, dass es sich lediglich um einen Erpressungsakt der Gruppe handelte, die im August letzten Jahres erstmals mit der Bereitstellung solcher Ransomware begann und vermutlich von Osteuropa aus, möglicherweise von Russland aus, operiert. Selbst in den eigenen Aussagen der Gruppe am Montag gab es Hinweise darauf, dass die Gruppe lediglich beabsichtigt hatte, Geld von der Firma zu erpressen, und war überrascht, dass die Hauptversorgung mit Benzin und Düsentreibstoff für die Ostküste unterbrochen wurde.
Der Angriff enthüllte die bemerkenswerte Verwundbarkeit eines wichtigen Energiekanals in den USA, da Hacker bei der Übernahme kritischer Infrastrukturen wie Stromnetzen, Pipelines, Krankenhäusern und Wasseraufbereitungsanlagen dreister werden. Die Stadtregierungen von Atlanta und New Orleans sowie in den letzten Wochen die Polizeibehörde von Washington, DC, wurden ebenfalls getroffen.
Die Explosion von Ransomware-Fällen wurde durch den Anstieg der Cyberversicherung – die viele Unternehmen und Regierungen zu reifen Zielen für kriminelle Banden gemacht hat, die glauben, dass sich ihre Ziele auszahlen werden – und von Kryptowährungen, die die Rückverfolgung von Erpressungszahlungen erschweren, angeheizt.
In diesem Fall richtete sich die Ransomware nicht an die Kontrollsysteme der Pipeline, sagten Bundesbeamte und private Ermittler, sondern an die Backoffice-Operationen der Colonial Pipeline. Die Angst vor größeren Schäden zwang das Unternehmen jedoch dazu, das System herunterzufahren. Dies führte zu den enormen Sicherheitslücken in dem zusammengeflickten Netzwerk, das Tankstellen, Lkw-Haltestellen und Flughäfen am Laufen hält.
Eine vorläufige Untersuchung ergab nach Angaben von Bundes- und Privatbeamten, die mit der Untersuchung vertraut sind, schlechte Sicherheitspraktiken bei Colonial Pipeline. Die Fehler machten es höchstwahrscheinlich ziemlich einfach, in die Systeme des Unternehmens einzudringen und diese zu blockieren.
Colonial Pipeline hat keine Fragen zu den Investitionen in den Schutz seiner Netzwerke beantwortet und sich geweigert zu sagen, ob das Lösegeld gezahlt wurde. Und das Unternehmen schien nicht bereit zu sein, Bundesbeamte seine Verteidigung stärken zu lassen.
“Im Moment haben sie die Bundesregierung nicht um Cybersupport gebeten”, sagte Anne Neuberger, die stellvertretende nationale Sicherheitsberaterin für Cyber- und aufstrebende Technologien, Reportern bei einem Briefing im Weißen Haus. Sie lehnte es ab zu sagen, ob die Bundesregierung die Zahlung des Lösegelds empfehlen würde, und stellte fest, dass “Unternehmen oft in einer schwierigen Position sind, wenn ihre Daten verschlüsselt sind und sie keine Backups haben und die Daten nicht wiederherstellen können.”
Während Frau Neuberger dies nicht sagte, scheint dies im Wesentlichen das zu sein, was mit Colonial passiert ist.
Herr Biden, von dem erwartet wird, dass er in den kommenden Tagen eine Exekutivverordnung zur Stärkung der amerikanischen Cyberabwehr bekannt gibt, sagte, es gebe keine Beweise dafür, dass die russische Regierung hinter dem Angriff stecke. Aber er sagte, er habe vor, sich bald mit Präsident Wladimir V. Putin aus Russland zu treffen – die beiden Männer werden voraussichtlich nächsten Monat ihren ersten Gipfel abhalten – und er schlug vor, Moskau trage eine gewisse Verantwortung, da DarkSide vermutlich Wurzeln in Russland hat und das Land dies vorsieht ein Paradies für Cyberkriminelle.
“Es gibt Regierungen, die ein Auge zudrücken oder diese Gruppen positiv ermutigen, und Russland ist eines dieser Länder”, sagte Christopher Painter, der frühere Top-Cyberdiplomat der USA. “Druck auf sichere Häfen für diese Kriminellen auszuüben, muss Teil jeder Lösung sein.”
Die Pipelines von Colonial versorgen große Lagertanks entlang der Ostküste, und die Vorräte scheinen reichlich zu sein, was teilweise auf den verringerten Verkehr während der Pandemie zurückzuführen ist. Colonial gab am Montag eine Erklärung ab, in der es darum ging, den Dienst bis Ende der Woche „im Wesentlichen“ wieder aufzunehmen. Das Unternehmen warnte jedoch davor, dass der Prozess einige Zeit in Anspruch nehmen würde.
Elizabeth Sherwood-Randall, Bidens Beraterin für Heimatschutz und ehemalige stellvertretende Energieministerin in der Obama-Regierung, sagte, dass das Energieministerium die Reaktion des Bundes leitete und „die Energieversorger des Öl-, Erdgas- und Elektrizitätssektors einberufen hatte, um Einzelheiten auszutauschen Informationen zum Ransomware-Angriff und zur Erörterung empfohlener Maßnahmen zur Minderung weiterer Vorfälle in der gesamten Branche. “ Sie merkte an, dass die Bundesregierung die Regeln für Fahrer, die Benzin und Düsentreibstoff per LKW transportieren, gelockert habe, um die Auswirkungen zu mildern.
“Im Moment gibt es keinen Versorgungsengpass”, sagte sie. “Wir bereiten uns auf mehrere mögliche Eventualitäten vor.” Aber sie sagte, die Aufgabe, die Pipeline wieder online zu stellen, gehöre Colonial.
Für viele Beamte, die jahrelang darum gekämpft haben, die kritische Infrastruktur der Vereinigten Staaten vor Cyberangriffen zu schützen, ist die einzige Überraschung über die Ereignisse der letzten Tage, dass sie so lange gedauert haben. Als Leon E. Panetta Verteidigungsminister unter Präsident Barack Obama war, warnte Panetta vor einem „Cyber Pearl Harbor“, der Strom und Treibstoff abschalten könnte. Dieser Satz wird häufig verwendet, um den Kongress oder Unternehmen dazu zu bringen, mehr für Cyberdefense auszugeben.
Während der Trump-Administration gab das Department of Homeland Security Warnungen vor russischer Malware im amerikanischen Stromnetz heraus, und die Vereinigten Staaten unternahmen nicht ganz geheime Anstrengungen, um Malware als Warnung in das russische Stromnetz einzubinden.
Aber in den vielen Simulationen, die von Regierungsbehörden und Elektrizitätsversorgern durchgeführt wurden, wie ein Streik gegen den amerikanischen Energiesektor aussehen würde, wurde die Anstrengung normalerweise als eine Art Terroranschlag – eine Mischung aus Cyber- und physischen Angriffen – oder als ein Blitz des Iran angesehen , China oder Russland in den Eröffnungsmomenten eines größeren militärischen Konflikts.
Aber dieser Fall war anders: Ein krimineller Schauspieler, der beim Versuch, Geld von einem Unternehmen zu erpressen, das System zum Erliegen brachte. Ein hochrangiger Beamter der Biden-Regierung nannte es “die ultimative gemischte Bedrohung”, da es sich um eine Straftat handelte, auf die die Vereinigten Staaten normalerweise mit Verhaftungen oder Anklagen reagierten, was zu einer großen Bedrohung der Energieversorgungskette des Landes führte.
Durch die Drohung, die Ransomware-Gruppe zu „stören“, hat Herr Biden möglicherweise signalisiert, dass die Verwaltung Maßnahmen gegen diese Gruppen ergriffen hat, die über die bloße Anklage hinausgehen. Dies hat das United States Cyber Command letztes Jahr vor den Präsidentschaftswahlen im November getan, als seine militärischen Hacker in die Systeme einer anderen Ransomware-Gruppe namens Trickbot eindrangen und ihre Kommando- und Kontrollcomputerserver so manipulierten, dass dies nicht möglich war Neue Opfer mit Ransomware einsperren. Zu dieser Zeit befürchtete man, dass die Ransomware-Gruppe ihre Fähigkeiten an Regierungen, einschließlich Russland, verkaufen könnte, die versuchten, die Wahltabellen einzufrieren.
Am Montag argumentierte DarkSide, dass es nicht im Auftrag eines Nationalstaates operiere, vielleicht um sich von Russland zu distanzieren.
“Wir sind unpolitisch, wir beteiligen uns nicht an der Geopolitik, müssen uns nicht an eine definierte Regierung binden und nach unseren Motiven suchen”, heißt es in einer Erklärung auf der Website. “Unser Ziel ist es, Geld zu verdienen und keine Probleme für die Gesellschaft zu schaffen.”
Die Gruppe schien etwas überrascht zu sein, dass ihre Maßnahmen zum Schließen einer großen Pipeline führten, und schlug vor, solche Ziele möglicherweise in Zukunft zu vermeiden.
“Ab heute führen wir Moderation ein und überprüfen jedes Unternehmen, das unsere Partner verschlüsseln möchten, um künftige soziale Konsequenzen zu vermeiden”, sagte die Gruppe, obwohl unklar war, wie sie “Moderation” definiert.
DarkSide ist ein relativer Neuling in der Ransomware-Szene, was Frau Neuberger als “kriminellen Schauspieler” bezeichnete, der seine Dienste an den Meistbietenden vermietet und dann “den Erlös mit Ransomware-Entwicklern” teilt. Es handelt sich im Wesentlichen um ein Geschäftsmodell, bei dem einige der unrechtmäßigen Gewinne in die Forschung und Entwicklung für effektivere Formen von Ransomware fließen.
Die Gruppe porträtiert sich oft als eine Art digitaler Robin Hood, der von Unternehmen stiehlt und an andere weitergibt. DarkSide sagt, es vermeide das Hacken von Krankenhäusern, Bestattungsunternehmen und gemeinnützigen Organisationen, aber es zielt auf große Unternehmen ab und spendet zeitweise seinen Erlös an Wohltätigkeitsorganisationen. Die meisten Wohltätigkeitsorganisationen haben ihre Geschenkangebote abgelehnt.
Ein Hinweis auf die Ursprünge von DarkSide liegt in seinem Code. Private Forscher stellen fest, dass die Ransomware von DarkSide die Computer der Opfer nach ihrer Standardeinstellung für die Sprache fragt. Wenn es sich um Russisch handelt, wechselt die Gruppe zu anderen Opfern. Es scheint auch Opfer zu vermeiden, die Ukrainisch, Georgisch und Weißrussisch sprechen.
Sein Code weist bemerkenswerte Ähnlichkeiten mit dem von REvil auf, einer Ransomware-Gruppe, die als eine der ersten „Ransomware as a Service“ anbot – im Wesentlichen Hacker zum Mieten -, um Systeme mit Ransomware als Geiseln zu nehmen.
“Es scheint, dass dies ein Ableger war, der sich selbstständig machen wollte”, sagte Jon DiMaggio, ein ehemaliger Analyst der Geheimdienstgemeinschaft, der jetzt der Chef-Sicherheitsstratege von Analyst1 ist. “Um Zugang zu REvils Code zu erhalten, müsste man ihn haben oder stehlen, weil er nicht öffentlich verfügbar ist.”
DarkSide stellt geringere Lösegeldforderungen als die achtstelligen Beträge, für die REvil bekannt ist – irgendwo zwischen 200.000 und 2 Millionen US-Dollar. Laut DiMaggio ist in jeder Lösegeldnotiz ein eindeutiger Schlüssel enthalten, was darauf hindeutet, dass DarkSide Angriffe auf jedes Opfer zuschneidet.
“Sie sind sehr selektiv im Vergleich zu den meisten Ransomware-Gruppen”, sagte er.